Kvalifikovaní poskytovatelé eIDAS: oficiální seznam 2026

Proč je status „kvalifikovaný" eIDAS rozhodující pro vaši firmu?

Od vstupu v platnost nařízení eIDAS (č. 910/2014) se evropský trh elektronického podpisu hluboce přestrukturoval kolem tříúrovňové hierarchie: jednoduchý elektronický podpis (SES), pokročilý elektronický podpis (AES) a kvalifikovaný elektronický podpis (QES). Pouze poslední jmenovaný má prospěch z právní domněnky ekvivalence s ručně psaným podpisem ve všech členských státech Evropské unie.

Aby mohla firma nabízet kvalifikované podpisy, musela být nezbytně prověřena a zapsána na seznam důvěry (Trust List) svého členského státu. Ve Francii vede tento oficiální registr Národní agentura pro bezpečnost informačních systémů (ANSSI), který se poté znovu zveřejňuje v centralizovaném seznamu Evropské unie spravovaném Evropskou komisí.

Porozumění této architektuře je zásadní před podepsáním jakéhokoli citlivého obchodního smlouvy. Chcete-li se dozvědět více o regulačních základech, náš komplexní průvodce nařízením eIDAS 2.0 podrobně popisuje všechny povinnosti a změny zavedené revidovaným nařízením eIDAS 2.0 (Nařízení EU 2024/1183).

---

Jak jsou certifikováni poskytovatelé kvalifikovaných služeb důvěry?

Cesta ke statusu Kvalifikovaného Poskytovatele Služeb Důvěry (QPSCQ) je náročná. Zahrnuje audit provedený akreditovaným orgánem pro posuzování shody (CAB, Conformity Assessment Body) podle norem ETSI EN 319 401 (obecné požadavky) a ETSI EN 319 411-2 pro kvalifikované certifikáty.

Kroky kvalifikace ANSSI

1. Podání žádosti o kvalifikaci: poskytovatel předloží svou technickou, bezpečnostní a organizační dokumentaci ANSSI.
2. Audit prostřednictvím akreditovaného CAB: třetí orgán — jako je Bureau Veritas, LSTI nebo Apave Certification — ověří shodu na místě i dokumentárně.
3. Rozhodnutí o kvalifikaci: ANSSI vyhlásí kvalifikaci a zapíše poskytovatele do francouzského seznamu důvěry (TL-FR).
4. Periodické obnovení: kvalifikace se přehodnocuje, obecně každé dva roky, aby se zajistilo zachování požadavků.

Co konkrétně audit kontroluje?

Auditor zkoumá zejména:

• Fyzickou bezpečnost datových center hostujících kryptografické klíče (HSM moduly certifikované CC EAL 4+ nebo minimálně FIPS 140-2 Level 3);
• Politiky certifikace (CP) a prohlášení o praxi certifikace (CPS) zveřejněná poskytovatelem;
• Postupy ověření identity signatářů (osobně nebo ověření identity na dálku v souladu s normou EN 419 241-1);
• Správu revokací a dostupnost služeb OCSP/CRL.

Tyto kritéria vysvětlují, proč ve Francii dosahuje a udržuje tuto úroveň certifikace pouze hrstka aktérů.

---

Kvalifikovaní poskytovatelé eIDAS registrovaní ve Francii v roce 2026

Oficiální seznam kvalifikovaných poskytovatelů je k dispozici kdykoliv na oficiálním portálu Evropské komise (eidas.ec.europa.eu/efts), kde můžete filtrovat podle „Francie" a služby „QCertESig" (Qualified Certificate for Electronic Signature). Zde jsou subjekty, které byly zapsány v registru v době psaní tohoto článku (červen 2026):

Francouzští aktéři zapsaní v Trust List

| Poskytovatel | Typ kvalifikované služby | Zvláštnost | |---|---|---| | Certigna (Dhimyotis) | Kvalifikované certifikáty, kvalifikované razítko | Skupina La Poste, certifikován eIDAS od roku 2016 | | Certinomis | Kvalifikované certifikáty | Dceřiná společnost La Poste, zaměřená na veřejný sektor | | ChamberSign France | Kvalifikované certifikáty | Síť CCI, silné zakotvení v MSP/TPE | | Keynectis / DocuSign France | Kvalifikované certifikáty | Získán společností DocuSign, zachování štítku ANSSI | | Universign (Tessi) | Kvalifikované certifikáty, razítko | Průkopník trhu, integrován do skupiny Tessi | | Entrust (ex-Datacard) | Kvalifikované certifikáty | Mezinárodní subjekt, Trust List více členských států | | Oodrive Sign | Kvalifikované certifikáty | Francouzský nezávislý vydavatel, certifikován SecNumCloud |

> Upozornění: tento seznam je uveden pouze pro informační účely. Právě závazný je pouze oficiální seznam Trust List Evropské komise. Před jakýmkoliv smluvním závazkem si vždy ověřte aktuální stav na portálu ETSI.

Zahraniční poskytovatelé uznávaní ve Francii prostřednictvím evropského Trust List

V souladu se zásadou vzájemného uznávání stanovené článkem 25 nařízení eIDAS má kvalifikovaný podpis vydaný QPSCQ zapsaným v seznamu důvěry jiného členského státu stejné právní účinky ve Francii. Mezi často používanými domácími subjekty:

• Namirial (Itálie): silný v kvalifikovaném podpisu na dálku (QES remote signing);
• SwissSign (Švýcarsko): pozor, Švýcarsko není členem EU; uznávání je částečné;
• Qualified.one / Asseco Data Systems (Polsko): evropský veřejný subjekt, běžný v přeshraniční obchodě.

Chcete-li porovnat tato řešení podle vašich obchodních potřeb, podívejte se na náš srovnávač řešení elektronického podpisu, který analyzuje kritéria ceny, shody a integrace API.

---

Jak vybrat správného kvalifikovaného poskytovatele eIDAS pro vaši organizaci?

Figurovat v Trust List je nezbytnou podmínkou, ale nikoli dostatečnou. Výběr QPSCQ by měl vycházet z několika doplňujících kritérií.

Technická kritéria a kritéria integrace

• Dostupné REST API nebo SDK: nezbytné pro automatizaci podpisu v mých obchodních workflows (ERP, SIRH, CRM);
• Podporované formáty podpisu: PAdES pro PDF, XAdES pro XML, CAdES pro binární soubory — všechny standardizované normy ETSI EN 319 100;
• Dostupnost služby: SLA vyšší než 99,9% zaručené smluvně, s dobami údržby plánovanými mimo pracovní dobu;
• Hostování dat: upřednostňujte hostování v Evropě či v EU, ideálně certifikované SecNumCloud pro citlivá data.

Právní a souhrnná kritéria

• Ověřte, že poskytovatel poskytuje aktuální zprávu o kvalifikaci (ne starší než 24 měsíců);
• Vyžadujte zveřejněnou politiku certifikace (CP) dostupnou veřejnosti a auditovanou;
• Zajistěte, aby obecné podmínky explicitně předvídaly vydání kvalifikovaných certifikátů v souladu s Přílohou I nařízení eIDAS.

Operační kritéria a podpora

• Postup registrace signatářů: osobně na pobočce, videoidentifikace v souladu s eIDAS nebo NFC z elektronického dokladu totožnosti;
• Podpora v češtině s dohodnutými lhůtami odezvy;
• Školení a dokumentace dostupné pro vaše právní a IT týmy.

Pokud vaše organizace spravuje obsáhlejší toky dokumentů HR, naše stránka věnovaná elektronickému podpisu pro HR týmy podrobně popisuje specifické případy použití (pracovní smlouvy, dodatky, nábor) a doporučené úrovně podpisu podle typu dokumentu.

---

eIDAS 2.0: jaké změny pro kvalifikované poskytovatele v roce 2026?

Nařízení eIDAS 2.0 (Nařízení EU 2024/1183, které vstoupilo v platnost postupně od května 2024) zavádí několik strukturálních změn, které přímo ovlivňují QPSCQ a jejich klienty.

Evropská peněženka digitální identity (EUDI Wallet)

Článek 6a revidovaného nařízení zavazuje členské státy poskytnout do září 2026 digitální peněženku identity (EUDI Wallet) uznávanou v celé EU. Pro kvalifikované poskytovatele to znamená:

• Povinnost akceptovat atributy identity ze wallet jako důkaz identity při registraci signatářů;
• Vznik nové kvalifikované služby: vydávání kvalifikovaných atestací atributů (Qualified Electronic Attestation of Attributes, QEAA).

Nové kvalifikované služby a rozšíření rozsahu

eIDAS 2.0 rozšiřuje seznam kvalifikovaných služeb důvěry tak, aby zahrnovaly:

• Služby kvalifikovaného elektronického archivování (QPDS, článek 45f);
• Služby správy zařízení pro vytváření podpisů na dálku (QRCD).

Tyto změny představují pro poskytovatele jak povinnost přizpůsobení (přesné lhůty) a příležitost diferenciace pro nové subjekty schopné rychle integrovat technické specifikace publikované ENISA a ETSI.

Pro firmy, které zvažují migraci ze stávající platformy na řešení s lepší shodou, náš průvodce migrací z DocuSign nebo YouSign na Certyneo uvádí konkrétní kroky a body regulačního bedlivého dohledu.

Právní rámec vztahující se na kvalifikované poskytovatele eIDAS

Nařízení eIDAS a evropské právo

Právní základ je Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách důvěry pro elektronické transakce na vnitřním trhu (zvané „nařízení eIDAS"), jak bylo změněno Nařízením (EU) 2024/1183 (eIDAS 2.0). Toto nařízení je přímo použitelné ve všech členských státech bez národní transpozice.

Jeho klíčové ustanovení pro kvalifikované poskytovatele:

• Článek 17: povinnost každého členského státu určit orgán dohledu (ve Francii ANSSI);
• Článek 20: postup dohledu, auditů a zápisu do seznamu důvěry;
• Článek 25: domněnka ekvivalence mezi QES a ručně psaným podpisem se zárukou právního účinku v celé EU;
• Příloha I: požadavky týkající se kvalifikovaných certifikátů pro elektronický podpis;
• Příloha II: požadavky týkající se zařízení pro vytváření kvalifikovaných podpisů (QSCD).

Francouzské právo

V interním právu je elektronický podpis upraven:

• Občanský zákoník, články 1366 a 1367: článek 1366 uznává důkazní hodnotu elektronického spisu za předpokladu zaručení identity autora a integrity dokumentu. Článek 1367 upřesňuje, že elektronický podpis spočívající na spolehlivém postupu identifikace má domněnku spolehlivosti, je-li vytvořen v souladu s prováděcím dekretem;
• Dekret č. 2017-1416 ze dne 28. září 2017: vymezuje podmínky, za nichž je kvalifikovaný elektronický podpis v Rancii domníván spolehlivým, přičemž výslovně odkazuje na nařízení eIDAS;
• Ordinance č. 2005-674 ze dne 16. června 2005 týkající se plnění určitých smluvních formalit elektronickými prostředky.

Ochrana osobních údajů

Procesy registrace a podpisu zahrnují zpracování osobních údajů (údaje o identitě, biometrie pro video-identifikaci). Kvalifikovaný poskytovatel je vázán Nařízením (EU) 2016/679 (GDPR) a musí zejména:

• Jmenovat DPO, pokud je zpracování v rozsáhlém měřítku;
• Dokumentovat zpracování v registru CNIL;
• Řídit přenosy mimo EU vhodnými zárukami (standardní smluvní klauzule, rozhodnutí o přiměřenosti).

Bezpečnost sítě a odolnost

Od října 2024 se na kvalifikované poskytovatele služeb důvěry vztahuje Směrnice NIS2 (2022/2555/EU), klasifikované jako podstatné entity. Musí zavést opatření pro řízení kybernetických rizik, hlásit významné incidenty ANSSI do 24 hodin a podrobit se pravidelným auditům. Nedodržení hrozí pokutami až do výše 10 milionů EUR nebo 2% celosvětového ročního obratu.

Referenční technické normy

• ETSI EN 319 401: obecné požadavky na poskytovatele služeb důvěry;
• ETSI EN 319 411-2: profil politiky pro kvalifikované certifikáty;
• ETSI EN 319 132: formáty podpisu XAdES;
• ETSI EN 319 122: formáty podpisu CAdES;
• ETSI EN 319 162: formáty podpisu PAdES (PDF).

Scénáře použití: kdy je kvalifikovaný elektronický podpis eIDAS nezbytný?

Scénář 1 — Právnická kancelář spravující soukromé listiny s vysokou důkazní hodnotou

Právnická kancelář zabývající se obchodním právem, která zaměstnává asi dvacet spolupracovníků, zpracovává každý měsíc desítky převodů podílů, protokolů o dohodě a smluv o záruce za aktivum a pasivum (GAP). Tyto listiny se týkají částek často přesahujících několik set tisíc EUR a mohou být napadeny soudem.

Před migrací na kvalifikovaného poskytovatele eIDAS používala kancelář řešení pokročilého podpisu (AES), což stačilo pro většinu běžných listin. Poté, co druhá strana napadla autenticitu podpisu během sporu, se kancelář rozhodla pro QES pro všechny listiny s vysokým rizikem. Výsledek: 90% snížení času stráveného prokázáním podpisu během soudních řízení díky irrefutabilní právní domněnce připojené k QES. Jednotkové zvýšení nákladů na podpis (přibližně 2 až 5 EUR podle svazků) bylo zcela absorbováno poklesem právních poplatků.

Scénář 2 — Průmyslová střední podnik spravující přeshraniční dodavatelské smlouvy

Středně velký průmyslový podnik (ETI) v sektoru průmyslového vybavení, který má dodavatele v Austrálii, Německu, Itálii a Polsku, musel dosud posílat své rámcové smlouvy poštou nebo pořádat osobní setkání pro podpis, což vytvářelo zpoždění 10 až 21 pracovních dnů na smlouvu.

Zavedením řešení připojeného k evropskému QPSCQ zapsanému v Trust List zkrátila podnik cyklus podpisu na méně než 48 hodin v průměru. Vzájemné uznávání mezi členskými státy garantuje právní hodnotu bez potřeby další legalizace. Na portfóliu 350 rozvážek dodavatelů ročně činí odhadované úspory na administrativních a logistických nákladech více než 40 000 EUR ročně, podle rozsahů konzistentních se studií v odvětví publikovanými ACFE a APQC.

Scénář 3 — Nemocniční seskupení podléhající požadavkům zdravotnického sektoru

Nemocniční seskupení s přibližně 1 200 lůžky musí elektronicky podepisovat veřejné nákupy, smlouvy o klinickém výzkumu a smlouvy s nemocničními lékaři. Tyto dokumenty podléhají Kódexu veřejné obchodování, který vyžaduje elektronický podpis v souladu s RGS (Obecný bezpečnostní odkaz) úrovně ** nebo, od demateriálů veřejných nákupů, na ekvivalentní úrovni eIDAS.

Spolehnutím se na QPSCQ zapsaný v seznam důvěry francouzský seskupení garantuje soulad s článkem R. 2132-7 Kódexu veřejné obchodování, zatímco zkrátí dobu podpisu veřejných nákupů z 15 dnů na méně než 72 hodin. API integrace se zdravotnickým informačním systémem (SIH) umožnila automatizaci odesílání a sledování dokumentů, což uvolnilo přibližně 0,4 FTE na administrativní úkoly související s smlouvami.

Závěr

Výběr kvalifikovaného poskytovatele eIDAS není jednoduchým nákupem softwaru: jedná se o strategické rozhodnutí, které určuje důkazní hodnotu vašich listin, regulační soulad vaší organizace a důvěru vašich obchodních partnerů a státních institucí. V roce 2026, s postupným vstupem eIDAS 2.0 v platnost a novými povinnostmi NIS2, se úroveň požadavků jen zvyšuje.

Podstatné body, které si máte pamatovat: vždy ověřte zápis v oficiálním Trust List, vyžadujte zveřejněnou politiku certifikace a přizpůsobte úroveň podpisu (QES, AES, SES) právnímu riziku každého dokumentu.

Certyneo vás provází tímto postupem tím, že vám poskytuje přístup ke kvalifikovaným certifikátům prostřednictvím odkazovaných QPSCQ, robustní integraci API a dedikovanou právní podporu. Připraveni přejít na kvalifikovaný podpis? Vyžádejte si demonstraci nebo vytvořte svůj účet na Certyneo a přiveďte svou organizaci do souladu ještě dnes.